平成27年度 春期 ITパスポート試験 公開問題 問53 解説 リスク対応
ISMSにおけるセキュリティリスクへの対応には,リスク移転,リスク回避,リス ク受容及びリスク低減がある。リスク回避に該当する事例はどれか。
- ア セキュリティ対策を行って,問題発生の可能性を下げた。
- イ 問題発生時の損害に備えて,保険に入った。
- ウ リスクが小さいことを確認し,問題発生時は損害を負担することにした。
- エ リスクの大きいサービスから撤退した。 ✓ 正答
解説
リスク対応の4つのパターンを見分ける
リスク対応の選択肢を選ぶ際は、リスクに対してどのような「態度」をとっているかに注目します。「やめる(回避)」「他人に任せる(移転)」「受け入れる(受容)」「小さくする(低減)」の4つを区別しましょう。今回は「リスクの原因そのものをなくす」ものが正解となります。
リスクマネジメントの基本概念
ISMS(情報セキュリティマネジメントシステム)において、リスクへの対応は大きく分けて以下の4つの手法に分類されます。
- リスク回避:リスクの原因となる行為そのものを中止・廃止し、リスクをゼロにする。
- リスク移転:保険への加入やアウトソーシングなどにより、リスクの影響を第三者に負担させる。
- リスク受容:リスクが許容範囲内であると判断し、発生時の損害をそのまま自社で負担する。
- リスク低減:セキュリティ製品の導入や運用ルールの見直しなどにより、発生確率や影響度を小さくする。
問題文にある「リスクの大きいサービスから撤退する」ことは、サービス提供という活動を中止することで、そのサービスに伴うセキュリティ上の脅威を断ち切る行為です。これがリスク回避の定義に合致します。
現場で求められる判断力
実務の現場では、すべてのリスクをゼロにすることは不可能です。予算や時間には限りがあるため、リスクの種類と事業の重要度に応じて、これら4つの対応を使い分ける必要があります。
例えば、個人情報流出のリスクがあるシステムを運用している場合を考えます。 ・高コストで修正が困難な旧システムであれば「撤退(回避)」する。 ・万が一の流出に備えて「サイバー保険(移転)」に加入する。 ・重要度が低い社内掲示板であれば「特に対策せず運用(受容)」する。 ・ウイルス対策ソフトやパスワード管理を徹底し「セキュリティレベルを向上(低減)」させる。
試験では「保険=移転」「撤退=回避」「対策=低減」というキーワードの組み合わせを素早く紐付けられるようになることが、合格への近道です。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
